OpenSSL là một thư viện mật mã được sử dụng rộng rãi, cung cấp nhiều chức năng khác nhau để bảo vệ dữ liệu và liên lạc an toàn. Vào ngày 24 tháng 10 năm 2023, một lỗ hổng mới được phát hiện trong OpenSSL có thể cho phép kẻ tấn công từ xa lấy được thông tin nhạy cảm.
Lỗ hổng CVE-2023-5363 xảy ra do khóa mật mã và xử lý độ dài IV không chính xác trong quá trình khởi tạo một số mật mã đối xứng. Điều này có thể dẫn đến tràn bộ đệm, kẻ tấn công có thể khai thác thông tin nhạy cảm từ bộ nhớ.
Nhà tư vấn bảo mật của OpenSSL cho biết: “ Việc cắt bớt trong IV có thể dẫn đến tính không duy nhất, có thể dẫn đến mất tính bảo mật đối với một số chế độ mật mã ”.
Lỗ hổng này ảnh hưởng đến OpenSSL phiên bản 3.0.0 đến 3.0. 11 và 3. 1. 0 đến 3. 1. 3. OpenSSL 3. 0. 12 và 3. 1. 4 trở lên không bị ảnh hưởng.
Tác động tiềm ẩn của lỗ hổng này là rất lớn. Kẻ tấn công có thể khai thác lỗ hổng để lấy thông tin nhạy cảm như mật khẩu, khóa mã hóa và dữ liệu nhạy cảm. Thông tin này sau đó có thể được sử dụng để khởi động các cuộc tấn công tiếp theo nhằm vào hệ thống bị ảnh hưởng.
Cách tốt nhất để khắc phục lỗ hổng CVE-2023-5363 là nâng cấp lên phiên bản OpenSSL mới nhất. Người dùng OpenSSL 3. 0 nên nâng cấp lên OpenSSL 3. 0. 12 và người dùng OpenSSL 3. 1 nên nâng cấp lên OpenSSL 3. 1. 4.